现漏洞 甲骨文 Access Manager 黑客连管理员账号都能霸占 (漏 甲骨文)
CESs Manager 现漏洞,黑客连管理员账号都能霸占" src="https://www.gpxz.com/zdmsl_image/article/20241209224201_68775.jpg" loading="lazy">
雷锋网消息,据外媒美国时间5月3日报道,来自 SEC 漏洞咨询实验室安全研究人员 Wolfgang Ettlinger在甲骨文 Access Manager(以下简称 OAM)上发现了一个安全漏洞,黑客可以利用它远程绕过身份验证程序,接管任何用户的账号。如果黑客愿意,他们连管理员的账号都能霸占。
OAM 不但支持多重身份验证(MFA),还能实现 Web 单点登录(SSO)。此外,会话管理、标准 SAML 联盟和 OAuth 等安全防护一应俱全,方便用户安全的访问移动应用和外部云存储。 不过,这样严密的防护依然存在漏洞。
这次发现的漏洞代号为 CVE-2018-2879,与 OAM 使用的一种有缺陷的密码格式有关。
“OAM 是甲骨文 Fusion Middleware 的组成部分之一,后者负责掌控各种类型网络应用的认证。”SEC 的 Ettlinger解释道。
“我们会通过展示证明加密实现的小特性是如何对产品安全造成实际影响的。 只要利用了这一漏洞,我们就能制作任意的身份验证令牌来扮演任何用户,同时还能有效的破坏 OAM 的主要功能。 ”Ettlinger 说道。
Ettlinger 解释称,攻击者可以利用该漏洞找到 OAM 处理加密信息的弱点,诱使该软件意外透露相关信息,随后利用这些信息冒充其他用户。
攻击者能组织一场填充攻击,使甲骨文披露账户的授权 Cookie。随后它就能制作出能生成有效登陆密匙的脚本,想冒充谁就冒充谁。
“在研究中我们发现,OAM 用到的密码格式有个严重的漏洞,只要稍加利用,我们就能制作出会话令牌。拿这个令牌去骗 WebGate 一骗一个准,想接入受保护的资源简直易如反掌。”Ettlinger 解释道。“更可怕的是,会话 Cookie 的生成过程让我们能冒充任意用户名搞破坏。”
雷锋网了解到, OAM 11g 和 12c 版本都受到了该漏洞的影响。
Ettlinger 去年 11 月就将该漏洞报告给了甲骨文,不过 IT 巨头在今年 4 月的补丁更新中才解决了在这一问题。如果你也在用 OAM,还是抓紧时间打补丁来封堵漏洞吧。
雷锋网Via. Security Affairs
原创文章,未经授权禁止转载。详情见 转载须知 。
本文地址: https://www.gpxz.com/article/83e209f2ae14924185f2.html
强大的数据库和后台服务,为你的作品保驾护航,一经录入,随时查检。大师作品溯源机制,让收藏者后顾无忧。
湖北京山锦鸿电器设备有限公司是集设计、科研、制造、销售、售后服务为一体的企业
优文网,专业提供各种优质教学文档,学习文档,优秀作文,经典美文,毕业论文,职场文档,古诗文,实用文,个人工作总结范文等优质文章内容资源文档。
永通经过24年的发展已成为一家生产以反应釜、混合机、储罐、高速分散机、衬四氟储罐、干粉砂浆设备的非标化工防腐设备为一体的大型企业,始建于1993年,位于新都石板滩工业区,厂区占地48亩。
采购招投标管理服务平台致力于为企业提供招标、采购、拟在建项目信息及网上招标采购等一系列商务服务;货物招标、工程招标、服务招标、VIP独家项目、拟在建项目、招标资讯、中标公告等信息。
江西中至科技有限公司(简称中至数据)始创于2000年,是一家专注于在线娱乐、在线营销及产业数字化的软件企业。公司获评“软件百强企业”,入选中国互联网领军企业100家重点研究企业、全国版权示范单位、江西省首批数字经济重点企业、江西功勋企业、江西省先进非公有制企业、江西省文化企业20强等。
启松警示灯厂是一家集生产与研发为一体的警示灯厂家,声光报警器厂家。公司主要产品有:三色警示灯、机床警示灯、机床三色灯、设备警示灯、工程车警示灯、工业警示灯、声光多层警示灯等多个类千逾种型号的产品。并多种产品获得国家专利,期待与您的合作。
东莞市上柴机电设备有限公司(汕尾有限公司)专业经营世界各种品牌发电机组销售、租赁、维修、回收等相关配套设施服务,24小服务热线:15899944759!
合肥华清高科表面技术股份有限公司长期从事金属及非金属表面材料防护方面科研开发工作,特别是镁合金高防腐及功能化,碳纤维金属化、金属缓蚀方面有很高理论研究和很强科研能力。主营业务为:表面处理新材料、新能源液冷新材料、航空航天零部件加工、电子电镀加工、表面处理功能化装备研发、生产、加工及销售一体的高新技术企业。
12333社保查询网为您提供社保、医保、就业、人才、档案、劳动监察、劳动仲裁、住房公积金等服务机构信息查询服务。
郑州葵花网络,18037115818,是一家专业从事网络优化、网络推广、网络发贴、网络建站等业务的服务企业,自公司成立十几年来,一直为广大中小企业提供网络服务,助力中小企业的快速推广,帮助广大企业朋友在网络上获取客户订单。
深圳市佳学杉建材有限公司专注于提供专业的信息咨询服务,为企业提供全方位的解决方案。
近日,网赚圈老牌博客,紫菜头博客,站长爆料,网站这阵子持续遭遇勒索攻击,随后网站域名也DNS污染,彻底被搞垮了,以后网站关站,不玩了,之前,紫菜头博客也经常在卢松松博客投稿,真心惋惜,以后也欢迎紫菜头站长和大家来!随后,深入了解发现原来不光紫菜头博客,今年网赚博客这个行业因为被DNS污染攻击倒闭了百分之八十,好几个头部网赚博客都遭遇D...。
在探讨2025年近视矫正加盟哪个品牌好时,易视界无疑是一个值得考虑的品牌,以下是对易视界品牌的详细分析,一、易视界品牌优势丰富的实践经验,易视界专注青少年视力防护17年,拥有丰富的行业经验和视光知识,加盟支持,提供全程保姆式指导,包括店面选址、装修指导、市场营销策略的指导及统一的营销方案实施等,此外,还有双线营收模式,即终端直营店面营...。
在数字广告行业,广告联盟是帮助广告主投放广告的主要平台之一,520kv广告联盟作为近年来崛起的广告平台之一,凭借其低门槛、高效益的特点吸引了大量的广告主,然而,对于许多广告主来说,520kv广告联盟是否真能为其带来不错的投放回馈,仍然是一个值得深思的问题,本文将通过具体案例分析,探讨520kv广告联盟的实际效果及其适用场景,广告联盟的...。
发表在当贝投影仪2023,7,613,04当贝OS4.0全新上线,整体界面UI相比过去有了巨大变化,更是新增不少功能,其中主界面更是提供自由搭配选项,用户可以构建照片墙来展示自己喜欢的照片,具体当贝OS4.0如何打造照片墙呢,下面就来详细了解一下吧,一、准备工作二、当贝OS4.0如何打造照片墙1.在主界面点击加号打开扩展页面;2.在扩...。
发表在综合交流大区2023,4,2613,41随着国家标准CVIA亮度诞生,如今投影行业的亮度乱象问题应该可以得到有效的解决,那么2023哪款投影仪亮度最高呢,下面就通过2023投影仪亮度天梯榜来详细了解一下,看看有哪些高亮度投影仪,一、2023投影仪亮度天梯榜,以下是2023投影仪亮度排行榜,选取的投影仪皆为如今采用最新标准的投影仪...。
[全球网报道记者姜蔼玲]外地期间13日,前美国总统特朗普在美国宾夕法尼亚州举办的竞选集会上宣布演讲时,现场突然响起枪声,特朗普被特勤局人员护送分开,美联邦考查局随后发申明称,确认枪击特朗普的枪手身份为20岁宾夕法尼亚州女子托马斯·马修·克鲁克斯,事发时其经常使用一支AR,15型步枪,后被当场击毙,无关克鲁克斯更多信息,成为美媒关注焦点...。
记者,谭登方7月11日,有网友爆料称,自己将重庆一警车在高速上别车并且实线变道的视频拍上去颁布到网上后,收到了派出所民警的电话,民正告知该网友,过后这辆警车正在口头义务,11日晚,新黄河记者就此事咨询到重庆市丰都县公安局,其上班人员示意,该警车过后确实是在口头义务,依据该网友颁布的行车记载仪监控视频显示,2024年7月10日下午3时许...。
7月14日,这日子有什么不凡吗,是比拟不凡,这一天是鬼节,这一天也被叫做中元节,在这一天出世的人是真的很可怕吗,七月的巨蟹好不好惹呢,一、7月14日出世的人很可怕之所以说可怕,大略是由于这一天是鬼节,是有百鬼进去夜行的,就感觉这一天出世的孩子,容易被鬼附身,对于中元节出世的人的命运,民间是有两种说法的,1、中元节今日出世的人,命是比拟...。
丰田Reiz锐志作为丰田旗下的奢侈中大型轿车,深受消费者的喜欢,其外观粗劣大气,内饰温馨奢侈,细节解决如虎添翼,为消费者提供了一种高质量、高性能、高温馨的驾驶体验,首先,丰田Reiz锐志的外观设计十分吸引人,整车驳回了流利的线条,形状犹如一头矫健的雄狮,具备剧烈而凌厉的视觉冲击力,前脸驳回了经典的,魂动,设计,配合车身正面流利的曲线,...。
海马苹果助手信赖方法,装置海马苹果助手之后,刚要关上海马助手,遇到了这个弹窗,有信赖按键的,咱们可以在这个窗口间接点击信赖,就可以了,然而iOS9却没有这个按键,因为iOS9系统限度,装置海马苹果助手app之后间接关上,系统会揭示,未受信赖的企业级开发者,,为了反经常常使用此APP,须要用户去手动信赖开发者的证书,关上,设置——通用—...。
同步推是一款功能强大的应用游戏管理软件,软件内的资源也是非常的多,各种精品软件游戏,海量资源高速下载,超值游戏礼包免费领取,流畅体验,还具备微信表情包下载导出使用功能,各种聊天记录,照片等备份还原,喜
奇葩战斗家游戏作为一个奇葩的生存大冒险系列的大逃杀游戏,为玩家们带来很多的乐趣,在不同的地图上进行生存挑战,各种古怪的武器,还有很流畅的技能连招,让玩家们在这里玩的不亦乐乎,同时小编在这里为玩家们提供了很多的奖励激活码,喜欢大家喜欢。兑换
大部分的玩家都喜欢清晰立体的游戏画面,这样会让玩家们的视觉体验感更强,那么有哪些好玩的3d立体游戏呢,这些游戏的画面塑造感都很强,以下几款都是2024榜单游戏推出的热门3d手游,1、,空间想象力,空间想象力的体验感十=极佳,这款游戏能够帮助玩家们锻炼自己的空间想象力,游戏中的团河湖面都是以几何立体图案为主的,非常的具有益智性,游戏的玩...。
选购商品,商品扫码,拿出手机,扫码付款,,如此便捷的购物支付体验,使很多人对于,付钱,这一过程的感知越来越低,密码验证、声纹验证、指纹验证、刷脸验证……消费者对于支付便捷、安全的需求似乎同时得到了满足,然而,真的是这样么?从左到右的支付行业毫无疑问,我国支付行业的发展已经领先世界,被誉为,新四大发明,之一,但如果时间回溯五年来看,我...。
餐饮行业是我国第三产业中的重要组成部分,有相关的数据显示,2017年,我国餐饮行业的市场交易额高达4万亿元,是各行各业中发展比较快的行业之一肠粉是我国一种传统小吃,因为色香味俱全,很受消费者的喜爱,一些智慧之选商想要智慧之选开哦肠粉店,为了降低智慧之选成本,一些智慧之选商不想招聘工人,但是,开肠粉店一个人可以吗,接下来,小编来为大家揭...。
在小猫咪大城市这款游戏中,解救被卡住的浣熊是一个既有趣又富有挑战性的任务,为了帮助玩家顺利完成任务,本文将从任务前置条件、寻找浣熊、解救过程以及注意事项等多个维度,为玩家提供一份详尽的攻略,一、任务前置条件在开始解救浣熊的任务之前,玩家需要确保已经完成相关的前置任务,这些前置任务可能包括与动物园管理员的对话、收集特定的道具或解锁特定的...。
在不久的将来,我们的天空将会充斥着盘旋的无人机,它们给我们运送食物,帮我们购物,但无人机发展至今,我们还有一个问题尚未解决,如何不让送货无人机对人或其他飞行器造成危害,毕竟等到无人机送货普及之后,空中肯定会有许多这样的飞行器,难保它们不发生碰撞,同时还可能给地面的人带来危险,那么我们该如何解决这个问题呢,Google是这样想的,4月2...。
